Hoy examinamos la infraestructura de mando y control (C2) utilizada por los atacantes para controlar los dispositivos infectados y robar datos confidenciales durante un ciberataque.
Un ciberataque exitoso no es simplemente una intrusión en el sistema de una organización desprevenida. Para beneficiarse realmente, un atacante debe mantener un virus persistente en el entorno objetivo, intercambiar datos con dispositivos infectados o comprometidos dentro de la red y potencialmente recuperar datos sensibles. Todas estas tareas requieren una sólida infraestructura de mando y control, o C2.
¿Qué es el C2? En este artículo responderemos a esa pregunta y veremos cómo los atacantes utilizan canales de comunicación encubiertos para llevar a cabo ataques sofisticados. También veremos cómo detectar y defendernos de los ataques C2.
Todo sobre Command and Control
¿Qué es Mando y Control (Command and control)?
La infraestructura de mano control, también conocida como C2 o C&C (del inglés Command and control), es un conjunto de herramientas y técnicas que los atacantes utilizan para intercambiar datos con los dispositivos comprometidos tras la intrusión inicial.
Los mecanismos específicos de ataque varían ampliamente, pero normalmente el C2 implica uno o más canales de comunicación encubiertos entre los dispositivos de la organización atacada y la plataforma controlada por el atacante. Estos canales de comunicación se utilizan para transmitir instrucciones a los dispositivos comprometidos, descargar datos maliciosos adicionales y transmitir datos robados al atacante.
Existen diferentes formas de C2. En el momento de escribir estas líneas, la base de datos ATT&CK de MITRE enumera 38 técnicas de mando y control diferentes, cada una con una serie de técnicas que se han observado en análisis de ciberataques completados con éxito. Una estrategia común es mezclar otros tipos de tráfico legítimo, como HTTP/HTTPS o DNS. Los atacantes pueden tomar otras medidas para disfrazar sus llamadas de retorno desde el C&C, por ejemplo, utilizando cifrado o tipos no estándar de cifrado de datos.
Las plataformas de C&C pueden ser totalmente personalizadas o estandarizadas. Los ciberdelincuentes y los pentests utilizan plataformas populares como Cobalt Strike, Covenant, Powershell Empire y Armitage.
Terminología en el Contexto C2
En el contexto de C2 o C&C, a menudo pueden oírse otros términos que se enumeran a continuación.
Zombie
Un “zombi” es un ordenador u otro tipo de dispositivo conectado que está infectado con malware y puede ser controlado a distancia por un atacante sin el conocimiento o consentimiento del propietario legítimo.
Aunque algunos virus, troyanos y otros programas maliciosos realizan determinadas acciones tras infectar el dispositivo, el objetivo principal de muchos otros tipos de programas maliciosos es abrirse camino hasta la infraestructura C2 del atacante.
A continuación, los sistemas de estas máquinas “zombis” pueden ser secuestrados para realizar diversas tareas, desde el envío de correos electrónicos basura hasta la participación en ataques DDoS a gran escala.
Botnet
Una botnet es una red de máquinas “zombis” utilizadas para un fin común. Las redes de bots pueden tener cualquier objetivo, desde minar criptomonedas hasta cerrar un sitio web con un ataque DDoS. Las redes de bots suelen consolidarse en una única infraestructura C2. Los hackers también suelen vender el acceso a las botnets a otros ciberdelincuentes como un “ataque como servicio”.
Beaconing
Beaconing es el proceso por el cual un dispositivo infectado envía un desafío a la infraestructura C2 de un atacante para comprobar si hay instrucciones o datos adicionales, a menudo a intervalos específicos. Para evitar ser detectados, algunos tipos de malware transmiten una señal a intervalos aleatorios o pueden permanecer inactivos durante un periodo de tiempo antes de enviar la llamada a su infraestructura.
¿Qué Pueden Conseguir los Hackers con C2 (Command and Control)?
La mayoría de las organizaciones cuentan con una protección perimetral razonablemente eficaz que dificulta que un atacante inicie una conexión desde el mundo exterior a la red de la organización sin ser detectado.
Sin embargo, los datos salientes no suelen estar estrictamente controlados y restringidos. Esto permite que el malware introducido a través de otro canal, como un correo electrónico de phishing o un sitio web comprometido, establezca un canal de comunicación saliente. Utilizándolo, un hacker puede realizar acciones adicionales, tales como:
“Movimiento Lateral” dentro de la organización de la víctima
Una vez que un atacante tiene un “punto de apoyo” inicial, normalmente se moverá “horizontalmente” (movimiento lateral) por toda la organización utilizando sus canales C2 para obtener información sobre hosts vulnerables y/o mal configurados.
La primera máquina comprometida puede no tener ningún valor para el atacante, pero sirve como plataforma de lanzamiento para acceder a partes más importantes de la red. Este proceso puede repetirse varias veces hasta que el atacante obtenga acceso a un objetivo de alto valor, como un servidor de archivos o un controlador de dominio.
Ataques en varias fases
Los ciberataques más sofisticados tienen varias fases (del tipo Cyber Kill Chain). A menudo, la infección inicial es un “dropper” o descargador que se comunica con la infraestructura de control C2 y descarga datos maliciosos adicionales. Esta arquitectura modular permite a un atacante realizar ataques de amplio alcance y enfoque limitado.
Un dropper puede infectar a miles de organizaciones, lo que permite al atacante ser selectivo y crear su propio malware de Capa 2 para dirigirse a los objetivos más atractivos. Este modelo también permite la creación de toda una industria del cibercrimen descentralizada. El grupo que llevó a cabo la intrusión inicial puede vender el acceso al objetivo principal (como un banco o un hospital) a otros ciberdelincuentes.
Exfiltración de datos
Los canales C2 suelen ser bidireccionales, lo que significa que un atacante puede descargar o extraer (“exfiltrar“) datos del entorno objetivo. Cada vez más, el robo de datos actúa como una herramienta adicional para exigir a la víctima; incluso si una organización es capaz de recuperar los datos de las copias de seguridad, los atacantes amenazan con exponer la información robada y potencialmente desacreditadora.
Otros usos
Como ya se ha señalado, las redes de bots se utilizan a menudo para ataques DDoS contra sitios web y otros servicios. Las instrucciones sobre qué sitios web atacar se entregan a través de C2. A través del C2 también pueden enviarse otros tipos de instrucciones.
Por ejemplo, se han identificado botnets de minería de criptomoneda a gran escala. Además, son teóricamente posibles usos aún más exóticos de los comandos C2, como perturbar las elecciones o manipular los mercados energéticos.
Modelos C2
Aunque existen muchas variantes de implementaciones C2, la arquitectura entre el malware y la plataforma C2 suele seguir uno de los siguientes modelos:
Modelo centralizado
El modelo de mando y control centralizado es casi similar al de las comunicaciones estándar cliente-servidor. El “cliente” del malware envía una señal al servidor C2 y comprueba si hay instrucciones.
En la práctica, la infraestructura de servidores de un atacante suele ser mucho más compleja, y puede incluir redireccionadores, equilibradores de carga y herramientas para detectar las “huellas” de los cazadores de amenazas y los agentes de la ley.
Los servicios de nube pública y las redes de distribución de contenidos (CDN) se utilizan a menudo para alojar o enmascarar actividades C2. Los hackers también piratean regularmente sitios web legítimos y los utilizan para alojar servidores de mando y control sin que el propietario lo sepa.
La actividad C2 suele detectarse con bastante rapidez; los dominios y servidores asociados a un ataque pueden eliminarse a las pocas horas de su primer uso. Para contrarrestar esto, el código malicioso moderno suele contener toda una lista de diferentes servidores C2 con los que intentar contactar. Los ataques más sofisticados utilizan niveles adicionales de ofuscación. Se ha documentado que el malware obtiene una lista de servidores C2 a partir de las coordenadas GPS asociadas a las fotos, así como de los comentarios en Instagram.
Modelo entre pares (P2P)
En el modelo de C&C P2P, las instrucciones se entregan de forma descentralizada, con los participantes de la botnet intercambiando mensajes entre sí. Algunos de los bots pueden seguir funcionando como servidores, pero en ausencia de un nodo central o “maestro”. Este modelo es mucho más difícil de afectar en comparación con un modelo centralizado, pero también es más difícil para un atacante transmitir instrucciones a toda la red de bots. Las redes P2P se utilizan a veces como mecanismo de reserva en caso de que falle el canal C2 principal.
Modelo controlado externamente con selección aleatoria de canales
Se han detectado varios métodos inusuales para enviar instrucciones a los hosts infectados. Los ciberdelincuentes suelen utilizar las plataformas de redes sociales como plataformas C2 no tradicionales porque rara vez se bloquean. Un proyecto llamado Twittor estaba construyendo una plataforma completa de mando y control mediante mensajes privados en Twitter. Los hackers también han sido grabados enviando mensajes de C&C a hosts comprometidos a través de Gmail, chats IRC e incluso Pinterest. Además, en teoría, la infraestructura de C&C podría ser completamente aleatoria. Esto significa que un atacante explora grandes áreas de Internet con la esperanza de encontrar un host infectado.
https://github.com/PaulSec/twittorDetección y Bloqueo del Tráfico C2
El tráfico C2 es extremadamente difícil de detectar, ya que los atacantes hacen todo lo posible para evitar ser detectados. Sin embargo, hay una gran oportunidad en el lado de la defensa, porque al interrumpir el C2 se pueden prevenir incidentes más graves.
Muchos ciberataques a gran escala se han detectado cuando los investigadores se percataron de la actividad del C2. He aquí algunas formas comunes de detectar y bloquear el tráfico de mando y control en tu red:
Supervisar y filtrar el tráfico saliente
Muchas organizaciones prestan poca atención al tráfico que emana de su red, centrándose únicamente en las amenazas relacionadas con los datos entrantes. Esta vulnerabilidad facilita el mando y control por parte de un atacante. Unas reglas de cortafuegos cuidadosamente diseñadas para el tráfico saliente dificultarán a los estafadores la apertura de canales de comunicación encubiertos.
Por ejemplo, restringir las consultas DNS salientes únicamente a los servidores controlados por la organización puede reducir la amenaza de la tunelización DNS. Los servidores proxy pueden utilizarse para inspeccionar el tráfico web saliente, pero asegúrate de configurar la verificación SSL/TLS, ya que los hackers también utilizan el cifrado. Los servicios de filtrado DNS pueden ayudar a evitar las devoluciones de llamada de C2 a dominios sospechosos o recién registrados.
Estar atento a las balizas
Las balizas pueden ser un indicador de la presencia de mando y control en tu red, pero a menudo son difíciles de detectar. La mayoría de las soluciones IDS/IPS identifican las balizas asociadas a frameworks comerciales como Metasploit y Cobalt Strike, pero los atacantes pueden cambiar fácilmente su configuración para que sean mucho más difíciles de detectar.
Para un análisis más profundo del tráfico de red (“Network Traffic Analysis”, NTA), puede utilizarse una herramienta como RITA. En algunos casos, los equipos de detección de amenazas llegan a comprobar manualmente los volcados de paquetes con Wireshark, tcpdump y herramientas similares.
Llevar registros y realizar controles
Mantener archivos de registro de tantas fuentes como sea posible es vital para encontrar señales de control y supervisar el tráfico. A menudo se requiere un análisis muy profundo para distinguir el tráfico C2 de las aplicaciones legítimas. Los analistas de seguridad pueden tener que buscar patrones inusuales, comprobar la “carga útil” de peticiones HTTPS o DNS aparentemente inocuas y realizar otros tipos de análisis estadísticos. Cuanta más información utilice el analista o el cazador de amenazas, mejor.
Comparar y contrastar datos de distintas fuentes
El objetivo general de una infraestructura de C&C es realizar determinadas acciones, como acceder a archivos confidenciales o infectar un gran número de hosts. La caza de C&C basada en el análisis de datos y parámetros de red aumenta la probabilidad de detectar ciberataques bien disimulados. Por ejemplo, este es el enfoque que adopta Edge de Varonis, que proporciona la máxima transparencia para identificar las amenazas internas y los ataques selectivos.
Palabras Finales
La infraestructura de C&C ofrece buenas oportunidades a los defensores. Bloquear el tráfico de C&C o “desmantelar” la infraestructura C2 de un atacante puede detener un ciberataque.
Abordar la C2 debe formar parte de una estrategia global de seguridad de la información que incluya buenas prácticas de “ciberhigiene”, formación en seguridad para los empleados y políticas y procedimientos bien diseñados.
Todo ello es fundamental para reducir las amenazas procedentes de la infraestructura de Mando y Control o Command and control.
